Лекція 14 на тему Захист інформації від несанкціонованого доступу, Віруси як засіб атаки на КС з курсу Захист та безпека інформаційних ресурсів, НУДПСУ
« НазадЛекція №14. ЗАХИСТ ІНФОРМАЦІЇ ВІД НЕСАНКЦІОНОВАНОГО ДОСТУПУ. Віруси як засіб атаки на КС
План
Без сумніву, найголовнішею задачею користувача є виявлення та знешкодження вірусу. Як показує практика є багато ознак зараження вірусами комп’ютера і, звичайно, може здатися, що віруси легко виявити. Проте ці ознаки є лише певними зовнішніми проявами наявності вірусу, які іноді не мають відношення до справжніх дій вірусу, а іноді ці прояви можуть виникати зовсім з інших причин, навіть без вірусів. Звичайно, всі ознаки дуже важко зібрати та класифікувати, оскільки в кожному конкретному випадку вони можуть проявлятися по різному. Серед таких ознак зазначимо наступні:
Ще раз зазначимо, що вищенаведені явища необов’язково можуть бути наслідком присутності вірусу, вони можуть бути наслідком якіхось інших причин. Отже, це підтверджує думку про труднощі з вірусною діагностикою стану комп’ютера. Взагалі, зважаючи на один з основних принципів захисту інформації – «усе, що незрозуміле – небезпечне», слід будь-які незвичайні явища при функціонуванні комп’ютера обов’язково зв’язувати з присутністю в ньому вірусів. Тобто можна сформулювати і в подальшому обов’язково використовувати наступний принцип: будь-що незвичайне в вашому комп’ютері – це вірус. Схема дії вірусних програм полягає в наступному. Розглянемо схему функціонування завантажувального вірусу, який інфікує дискети. При включенні комп'ютера управління передається програмі початкового завантаження, яка зберігається в постійному запам'ятовуючому пристрої. Ця програма тестує пристрої комп'ютера, після чого намагається знайти дискету в дисководі. Якщо дискету не знайдено, програма початкового завантаження завантажує безпосередньо операційну систему і передає їй управління. Тепер уявимо, що комп'ютер, що завантажується, інфіковано завантажувальним вірусом. Як і кожен інший вірус, завантажувальний вірус складається з двох основних частин: голови та хвоста. Голова вірусу містить частину коду, що дозволяє вірусу саморозмножуватись, а хвіст може містити частину коду, що викликає той чи інший візуальний ефект, або бути взагалі пустим. Припустимо, що з дисководу забули витягнути системну дискету. Кожна дискета розмічена на сектори та доріжки. Серед секторів є декілька службових (що використовуються операційною системою для власних потреб), і, зокрема, сектор початкового завантажування (boot-sector). Цей сектор містить інформацію про дискету, а саме про кількість робочих областей, кількість доріжок, кількість секторів та ін. Як тільки вірус виявить дискету в дисководі, він повинен відпрацювати наступні дії:
Ця схема підходить для опису роботи практично кожного завантажувального вірусу, що працює з дискетами. Але є віруси, що інфікують і завантажувальні сектори вінчестерів. При завантаженні операційної системи з вінчестеру першою отримує право управління програма початкового завантаження в MBR (Master Boot Record – головний завантажувальний запис). Програма початкового завантаження знаходить завантажувальний (boot) розділ вінчестера і передає управління на програму початкового завантаження цього розділу. Таким чином, на вінчестері з'являються два можливі об'єкти атаки завантажувального комп'ютерного вірусу, а саме – програма початкового завантаження в MBR і програма початкового завантаження в бут-секторі завантажувального диску. На відмінність від завантажувальних вірусів, файлові віруси можуть бути нерезидентними. Уявимо: файл, що виконується, інфіковано саме таким типом вірусу. Отже, при запуску такого файлу на виконання, управління передається коду корисної програми. Під час виконання даного коду вірус шукає собі «нову домівку», а саме – файл, що співпадає за розширенням з «батьківським». Обравши такий файл, вірус інфікує його. При цьому вірус просто приєднує свій виконавчий код до виконавчого коду корисної програми. Тобто, коли файл інфіковано таким типом вірусу, його початковий розмір змінюється. Для захисту від вірусів можна використовувати:
Якість антивірусної програми визначається наступними критеріями:
Надійність роботи антивірусу є найбільш важливим критерієм, оскільки навіть «абсолютний антивірус» може виявитися марним, якщо він буде не в змозі довести процес сканування до кінця – «зависне» і не перевірить частину дисків і файлів і, таким чином, залишить вірус непоміченим у системі. Якщо ж антивірус жадає від користувача спеціальних знань, то він також виявиться марним – більшість користувачів просто проігнорує повідомлення антивірусу і натисне [OK] або [Cancel] випадковим чином, залежно від того, до якої кнопки ближче знаходиться курсор миші в даний момент. Якщо антивірус буде надто часто задавати складні питання рядовому користувачу то, швидше за все, він (користувач) перестане запускати такий антивірус або навіть видалить його з диска. Якість детектування. Будь-який найкращий за своїми можливостями антивірус буде марним, якщо він не в змозі ловити віруси або робить це не дуже якісно. Наприклад, якщо антивірус не детектує 100% якого-небудь поліморфного вірусу, то при зараженні системи цим вірусом такий антивірус знайде тільки частину (припустимо 99%) заражених на диску файлів. Невиявленими залишиться всього 1%, але коли вірус знову проникне в комп'ютер, то антивірус знову знайде 99%, але вже не від усіх файлів, а тільки від знову заражених. У результаті на диску буде 1,99% заражених файлів. І так само, поки усі файли на диску не будуть заражені при повному мовчанні антивірусу. Багатоплатформенність антивірусу – програма, розрахована на конкретну операційну систему, може цілком використовувати функції цієї системи. «Нерідні» ж антивіруси часто виявляються непрацездатними, а іноді навіть руйнівними. Наприклад, вірус «OneHalf» вразить комп'ютер із установленими на ньому Windows 95 або Windows NT. Якщо для розшифровки диска (даний вірус шифрує сектори диска) скористатися DOS-антивірусом, то результат може виявитися жалюгідним: інформація на диску виявиться безнадійно зіпсованою, оскільки Windows 95/NT не дозволить антивірусу користуватися прямими викликами читання/запису секторів при розшифровці секторів. Антивірус, який є Windows-програмою, справляється з цією задачею без проблем. Можливість «постійної перевірки» файлів також є досить важливою рисою антивірусу. Моментальна і примусова перевірка прихожих на комп'ютер файлів і дискет, що вставляються, є практично 100% гарантією від зараження вірусом, якщо, звичайно, антивірус здатний знайти цей вірус. Дуже корисними є антивіруси, що здатні постійно стежити за серверами – Novell NetWare, Windows NT, а останнім часом, після масового поширення макро-вирусів, і за поштовими серверами, скануючи вхідну/вихідну пошту. Якщо ж у серверному варіанті антивірусу присутні можливість антивірусного адміністрування мережі, то його цінність ще більше зростає. Наступним за важливістю критерієм є швидкість роботи. Якщо на повну перевірку комп'ютера потрібно кілька годин, то навряд чи більшість користувачів будуть запускати його досить часто. При цьому повільна швидкість роботи антивірусу зовсім не говорить про те, що він ловить вірусів більше і робить це краще, ніж більш швидкий антивірус. У різних антивірусах використовуються різні алгоритми пошуку вірусів, один алгоритм може виявитися більш швидким і якісним, інший – повільним і менш якісним. Усе залежить від здібностей і професіоналізму розроблювачів конкретного антивірусу. Для того, щоб позбавити комп'ютер від вірусів, необхідно виявити та знешкодити вірусні програми та «вилікувати» корисні програми, що були інфіковані. Це зробити досить-таки важко. По-перше, віруси намагаються зробити себе «невидимими», тобто при звернені до частин диска, де знаходяться вірусні програми висвітлюється інформація, що відповідає стану диска до моменту зараження. По-друге, деякі віруси самомодифікуються, тобто вони постійно змінюють власний код виконання. Таким чином, для вирішення проблеми виявлення програм, що заражені, а також для знешкодження програм-вірусів, необхідно використовувати спеціальні антивірусні програми, які можна поділити на кілька видів:
Останнім часом з'явилися спеціальні антивірусні пакети, що включають до себе антивірусні програми згаданих вище видів. Існують як клієнтські версії таких пакетів, так і корпоративні. Клієнтські версії містять у собі програми детектування, лікування і фільтрування для робочих станцій. Вони поставляються в різних зборках і можуть мати у своєму складі різні компоненти. Корпоративні пакети містять у собі антивірусні програми як для робочих станцій, так і для серверів, а також засоби об'єднання всіх компонентів у логічні мережі. До них входять програми сканування поштових серверів, WEB серверів, шлюзів і файлових серверів. Логічні мережі дозволяють реалізувати комплексний захист усієї мережі від комп'ютерних вірусів, що так важливо в середніх та великих мережах. У нас найбільш поширені корпоративні пакети AVP і Norton Antivirus. Ці пакети дозволяють побудувати логічну мережу захисту від вірусів, що надає можливості:
Антивірусні програми, як і їхні вірусні бази, постійно модифікуються й оновлюються. Останнім часом деякі виробники пропонують щоденне оновлення їхніх продуктів. Тому своєчасна установка цих відновлень відіграє ключову роль у реалізації дійсно надійної й актуальної системи захисту від комп'ютерних вірусів. Серед методів захисту від комп’ютерних вірусів виділимо наступні.
Правила, що запобігають появі та поширеннюкомп‘ютерних вірусів
10.Необхідно мати системну дискету, що містить антивірусну програму. Ця дискета повинна бути вільною від вірусів і мати захист від запису. Дії при заражені комп‘ютерним вірусомЯкщо при роботі на комп‘ютері були виявлені ознаки зараження вірусом, слід ретельно дотримуватись наступних чотирьох правил:
Контрольні запитання1. Які основні ознаки дії вірусів вам відомі? 2. Які критерії якості антивірусної програми найбільш важливі? 3. Класифікація антивірусних програм. 4. Методи захисту від вірусів. 5. Правила, що запобігають появі та поширенню комп’ютерних вірусів. 6. Дії при зараженні комп’ютерним вірусом. З повагою ІЦ “KURSOVIKS”! |